Category Archives for "Comms."

Nueva Web en Orbal

web-orbal

Una web llena de recursos para vosotros

web-orbal

Siempre he dicho que una imagen vale más que cien palabras, y por eso creo que lo mejor es que se vea lo que estamos haciendo.

Estamos haciendo un punto de encuentro donde un Responsable Informático pueda encontrar la mayor cantidad de recursos sobre ello, videos, white papers, e-books

Y mientras vamos populando este apartado, podéis ver nuestro nuevo site, desde donde podréis ver lo que hacemos, nuestras novedades, etc.

captura-de-pantalla-2016-09-25-a-las-18-39-52

Os esperamos pronto por www.orbal.es

Take care,

JM

 


Source: jmgriscom

¿Cúal es la inversión de nuestra empresa en IT?

Hay una serie de métricas que un CIO tiene que tener muy claras si quiere que su departamento esté a la altura de las circunstancias y que el desempeño de su cargo no sea cuestionado (entre otras).

Uno de los primeros conceptos que tiene que tener en cuenta un responsable de un Departamento de IT es que esta gestionando un presupuesto más o menos elevado, pero que no ha solicitado ni precisa el Departamento de IT.

Si, parece mentira pero es así. El 80 o 90% del presupuesto del Departamento de IT está dedicado a dar servicio a nuestros clientes internos, los otros Departamentos, para que ellos a su vez, den servicio a los clientes de la empresa.

Lo primero que debiera tener claro el CIO es este concepto y defenderlo, lo segundo, conocer que porcentaje usa cada Departamento del 80% en cuestión y lo tercero (ya vamos para nota) que cada mes hubiera una nota interna o “factura” donde le indicáramos a cada Departamento en lo que ha incurrido. Al lado, para compensar la situación, una evaluación del servicio.

Esto, para las empresas que trabajan con una contabilidad de centros de costes será relativamente fácil, porque la cultura ya estará implantada, en las que no, pues pasito a pasito y empezar a clarificar quién es el responsable del presupuesto y quién es el que lo está explotando en verdad.

Estoy preparando un post donde además hablaremos sobre como confeccionar un presupuesto anual “por concepto y destino”, pero ahora volvamos al post original. Volvemos…

Si Vd. CIO de la empresa X le preguntara que porcentaje de los ingresos de su empresa se invierten en IT, ¿me sabría contestar? ¿Y si le pregunto cual es la media de su sector, o la media general?.

Antes de que dejes de leer este post déjame decirte que es muy fácil conocerlo (facturación anual y OPEX incluyendo amortización del Depto de IT y hacer una operación) y muy importante saberlo.

¿Por qué? Porque cuando venga el momento de poner presupuestos sobre la mesa, si sabemos ese dato y comparamos nuestra inversión en frente de la sectorial, tendremos argumentos en lenguaje de negocio para defender el proyecto, porque así se defienden los proyectos, en lenguaje de negocios, y demostrando que la inversión o ROI de nuestro proyecto es menor que los beneficios que va a aportar.

Sí, ya sé, y lo sé por experiencia (10 años como CIO) que hay muchos puntos “difíciles” en los proyecto, “intocables” que tendremos que volver “tocables”, poniendo un valo, y puntos “incuantificables” que volveremos “cuantificables”, porque nuestro CIO va a discutir un punto crítico “que gano si pongo en marcha este proyecto”.

Si esto lo podemos “indexar” al cuadro de lo que se gasta la industria en IT, tendremos otro punto de apoyo.


Acabo de ver el cuadro de Gartner y lo cierto es que continúo pensando que es bajo el “Share” de IT en los ingresos de la empresa.

El sector financiero está invirtiendo un 6.3% y el de Software e internet un 6,7, mientras que el general de la industria es un 3.3%. Ojo con confundirnos. Veamos que el sector de la energía tiene tan sólo un 1.1%, Igual con el 1.3% de las químicas. ¿sobre que cantidad de ingresos?

Tengamos un momento para hacer estos cuatro números y comparémonos con el cuadro o con nuestros colegas (si es posible). El paisaje nos dará mucha información.

Me encantaría que me dejárais algun comentario al respecto.

Hasta la semana que viene

Take care,

JM


Source: jmgriscom

¿Cual es el real “Estado del Arte” de los cryptolocker, ransomware y otros elementos dañinos?

En estos últimos días, oyendo casos de Ransomware, de su proliferación y lo que es más, su “no resolución” empieza a preocuparme.

No sé si conocéis la paradoja del cisne negro. Los ingleses en sus viajes, encontraron cisnes negros, pero claro, “Los cisnes son blancos….” Luego esto no es un cisne. Cuando llegaron a Inglaterra y los diseccionaron la respuesta era clara. Era un perfecto cisne, pero de color negro.

Esta paradoja se ha extendido en el mundo empresarial como “no des por sabido lo que sabes, puede que haya más sobre el tema que desconoces”. ¿Quien iba a pensar que unos aviones civiles se podían estrellar contra unas torres?

Recuerdo cuando empezó los auges de antivirus como el “I love you” y lo que está ocurriendo ahora me lo trae a la memoria, aquello fue un “Boom”, esto va en escalada.

Y así con aquella máxima informática que dice “Hay que saber del tema, y sino, el teléfono del que sabe” llamo a mi amigo Antonio Martínez Algora , Responsable Técnico de Stormshield para Iberia, curiosamente una empresa participada por Airbus. Aprovecho para “atracarle” con una entrevista para vosotros 🙂 J. Gracias Antonio, eres un amigo….

JMG. Antonio, que nos puedes decir de esta “escalada”?

AMA. Estamos asistiendo a un fenómeno preocupante: la confluencia de técnicas de ciberdelincuencia para conseguir un efecto más letal y evadir las medidas de protección.  Por primera vez, ransomware, como Locky o Cerber, son utilizados por una vulnerabilidad de Día Cero de Flash para infectar a sus víctimas.  Una razón adicional para actualizar su plugin de Flash con el último parche propuesto por Adobe.

Existen al menos dos kits de exploit, llamados Nucleus y Magnitude, que se encuentran disponibles “in the wild” y que aprovechan la vulnerabilidad de Día Cero descubierta recientemente en la aplicación multimedia.  Gracias a estos kits, los cibercriminales pueden explotar la vulnerabilidad de Flash para infectar a sus víctimas con Locky o Cerber, dos tipos de ransomware que cifran los documentos del ordenador de sus víctimas con potentes tecnologías de cifrado, y solicitan un pago o rescate para desencriptar y restaurar los documentos originales.

JMG. ¿Nos cuentas un poco sobre cada uno de ellos?

AMA. El primero de estos dos malware, Locky, ha hecho estragos el mes pasado en distintos países europeos y de todo el mundo, afectando a todo tipo de empresas y particulares.  Uno de los incidentes más renombrados ha sido el de un hospital en Los Ángeles, Estados Unidos, obligado a pagar 17.000USD de rescate para remover el malware en múltiples sistemas infectados y recuperar datos médicos como historiales, radiografías, análisis, etc.

En un primer momento, las técnicas utilizadas para la difusión de este ransomware han consistido en macros de Office incluidas dentro de un documento Word,  y también archivos JavaScript enviados como archivos adjuntos en campañas masivas de correos electrónicos o spam.  En ambos casos, se requiere de la participación del usuario, aprovechándose de su “ingenuidad” y menor concienciación de seguridad, para abrir estos documentos Word o JavaScript, a pesar de provenir de una fuente que podría no ser de confianza.

Si bien un usuario debidamente formado es poco propenso a abrir documentos sospechosos, el uso de la vulnerabilidad de Flash permite a los ciberdelincuentes infectar a cualquier tipo de usuario durante una simple visita a un sitio Web y por tanto sin requerir ningún tipo de intervención directa del usuario.  De esta forma, incluso los usuarios más recelosos y expertos, se convierten en víctimas impotentes de esta nueva forma de infección.

Desde la perspectiva de los piratas, esta combinación de técnicas de ataque permite optimizar la tasa de usuarios infectados de forma espectacular.  Los ciberdelincuentes buscan otros vectores para rentabilizar sus inversiones, ya que los usuarios se van mostrando cada vez más desconfiados hacia los ficheros adjuntos de fuentes desconocidas. Igualmente las herramientas de protección tradicionales están añadiendo capacidades para bloquear documentos que contengan macros o bien bloquear tipos de ficheros potencialmente peligrosos como programas ejecutables, JavaScript o scripts en general.   Gracias al uso de sitios Web legítimos infectados, o sitios web suplantados mediante redirección por los ciberdelincuentes, estos ataques son mucho más difíciles de detectar y de prevenir.

JMG. ¿Cuál es el perfil del Ciberdelincuente?

AMA. Si el kit de exploit Nuclear sirve para difundir Locky, Magnitude hace lo propio con otro ransomware, Cerber.  Este último malware, que también cifra  los datos de sus víctimas, tiene la particularidad de atacar múltiples sistemas operativos (Windows, Linux, MacOS X).  Con Cerber, asistimos a la llegada de una generación de ransomware proporcionados como un servicio.  Incluso sin conocimientos técnicos especiales, los ciberdelincuentes pueden comprar malware en línea y generar sus propias campañas de infección.

También se empieza a popularizar la infección de ransomware aprovechando una vulnerabilidad de Día Cero para acelerar su difusión. Estamos asistiendo a un cruce entre dos mercados de ciberdelincuencia: el negocio muy rentable del ransomware y el mercado para la venta de exploits de vulnerabilidades o “zero-day exploit”.

Hasta ahora el mercado de zero-day exploits  -que se venden por un precio que ronda desde unos pocos miles a decenas de miles de euros – era utilizado fundamentalmente para campañas de ataques persistentes avanzados (o APT por sus siglas en Inglés), para infiltrarse en una organización objetivo y robarle datos confidenciales y tomar control de sus sistemas a lo largo del tiempo.

antonio_stormshield

JMG. ¿Apuntar a las empresas más negligentes o con menor inversión en seguridad?

AMA. Si bien la vulnerabilidad de Flash afectaba a muchas versiones de la tecnología de Adobe, los exploits sólo atacaban a las versiones antiguas.  Esto plantea la pregunta de por qué los atacantes no están sacando el máximo provecho al exploit y auto-limitan el alcance de sus víctimas.

Matthieu Bonenfant, director de Producto de Stormshield, avanza una explicación bastante lógica para esta elección a priori sorprendente: “A menudo observamos dos tipos de empresas a la hora de abordar la instalación de parches de seguridad. Las que despliegan de forma regular las actualizaciones de sus aplicaciones; éstas empresas en realidad tendrían menor interés para los ciberdelincuentes, ya que tendrán más dificultad para atacarlas. Y por otra parte aquellas que muestran una carencia técnica desde hace varios años; estas empresas les permiten a los ciberdelincuentes perpetrar sus ataques durante mayor tiempo por debajo del radar sin saltar a la luz pública, especialmente con exploits de día cero”. En pocas palabras, los hackers podrían haber apuntado intencionadamente a las versiones más antiguas de Flash… por una mera cuestión de rentabilidad de sus acciones, para pasar desapercibidos el mayor tiempo posible.

Los últimos ataques de ransomware están tomando proporciones muy grandes. En primer lugar debido al número de usuarios afectados por la vulnerabilidad CVE-2016-1019, que afecta a todas las versiones de Flash anteriores al parche publicado el 7 de abril. Además, porque Nucleus y Magnitude, aunque no tienen la popularidad de un Anger, no son menos habituales en el “mercado negro”.  Hay que señalar que ha sido a través de un análisis del kit Magnitude como los investigadores de Proofpoint, ayudados por los de FireEye, han descubierto la vulnerabilidad CVE-2016-1019.

Esta escalada de la amenaza es parte de un aumento de la potencia de los ransomware.  Debido a este auge, las empresas están demandando herramientas específicas de protección contra APTs y zero-days como la solución de Stormshield Endpoint Security (SES). SES utiliza tecnologías avanzadas de protección, que tratan, no de reconocer cepas infecciosas, sino sus efectos, bloqueando los comportamientos nocivos, incluso de procesos legítimos, como escalado  de privilegios, ejecución de código, desbordamiento de la memoria, etc.

Las herramientas avanzadas de seguridad de Stormshield que anteriormente eran demandadas únicamente por empresas de sectores sensibles con altos requerimientos, están siendo solicitadas hoy en día por empresas de todos los sectores y de cualquier tamaño, incluyendo PYMEs… después de haber sido infectadas con ransomware y haber sufrido sus efectos, y para evitar seguir tropezando con distintas variantes del mismo problema en el futuro.

JMG. Pues nada Antonio, muchas gracias por tu valiosa información y nos gustaría volverte a ver por estos lares. Un abrazo

 

—– UPDATE 4.Agosto.2016 —-

Me informa Antonio Martinez que los que producen RaaS (Ransomware as a service) han tenido un enfrentamiento entre ellos. En este caso, los de PETYA han hackeado a otro Ransonmware rival, de nombre CHIMERA siendo sus claves plublicadas.

Tambien aquí podemos ver como detectar si tienes o no Chimera.

Saludos. JM


Source: jmgriscom